uviedli ste tu pár nástrojov ale také jednoduché to nie je. Určite fungujú na jednoduchšie rootkity, kde autor pozmenil funkciu a, ktorá sa využíva v 99,9 % volaní, ale zabudol na funkciu b ktorá sa nepoužíva takmer vôbec, ale vie poskytnúť tie iste vystupy. Ten program potom napríklad porovná vystupy týchto dvoch funkcií a zistí, že tu niečo nesedí, alebo priamo použije b a zistí niečo čo tam nemá byť.
Rotkit musí pamätať nielen na výpis obsahu adresára, včítane pozmenenia skutočnej veľkosti binárok, dátumu zmeny súboru, ale aj výpis bežiacich procesov, využitia RAM, sieťových pripojení a kopu iných vecí.
Najspoľahlivejší spôsob je vypnúť stroj, nabutovať livecd a skontrolovať md5sumy (ak máte zodpovedajúce sumy z času, ked bol system 100 % vierohodný), alebo aspon zistiť či od poslednej aktuálizácie sa nezmenila štruktúra a veľkosť súborov na rootovskej partícií.
Este jedna pripomienka, neviem či môže existovať nečo ako user-mode rootkit, akosi mi to logicky nesedí